Security
-
방송국과 은행권을 공격해서 전산망을 마비시키는 등 대한민국을 뒤집어놓은 해킹 공격에 대한 느낌Security 2013. 3. 21. 09:08
어제 일어난 KBS, MBC, YTN 등의 방송국 전산망 마비와 신한은행, 농협 등의 은행권 전산망 마비 사태에 대한 언론에서 나온 기사들을 보면서 참 어제는 대단했구먼 하는 생각이 들었다. 뭐 언론에서 하도 잘 정리를 해서 그런지 따로 분석할 필요도 못느낄 정도다. 그래도 나름대로 정리를 해두면 나중에 써먹지 않을까 싶어서 여기에도 가볍게 정리만 해둘까 한다. 일단 어제 언론의 기사들만 봐서 느꼈던 것을 정리하자면KBS, MBC, YTN 등의 방송국과 신한은행, 농협 등의 금융권 전산망에 있는 업무용 PC를 공격해서 업무를 마비시킴공격 방식은 악성코드가 PC의 부팅을 진행하는 MBR(Master Boot Recode)을 손상시켜서 아예 PC 자체를 사용하지 못하게 하는 것임.악성코드 배포 방식은 각 전..
-
[MWC 2013] 스마트폰에서 개인용과 업무용을 완벽히 나눠서 쓰게 해준다면? 삼성의 모바일 보안 솔루션, 삼성 녹스(Samsung Knox)Security 2013. 2. 28. 08:00
이번 MWC 2013에서 삼성전자는 3가지 메인 테마를 잡았다고 이전 포스팅에서 살짝 언급했다. 모바일 카테고리 중에서 단말기, 클라우드 서비스, 그리고 보안 분야를 나눴고 그 중에서 단말기에는 갤럭시 노트 8.0을, 클라우드 서비스에는 홈 클라우드 솔루션인 홈싱크를, 그리고 보안 분야에서는 이번에 소개할 녹스(Knox)를 내세웠다고 말이다. 이 포스트에서는 약간은 어려운 얘기일 수 있지만 삼성전자가 B2B(기업형) 서비스로 내세운 모바일 보안 플랫폼인 녹스에 대해서 살펴볼까 한다. 녹스의 기본 컨셉은 개인용 공간과 업무용 공간을 모바일 단말기 안에서 나눈다는 것이다. 즉, 개인용 공간에는 개인적으로 사용하는 어플리케이션을 배치하고 업무용 공간에는 업무에 관련된 어플리케이션을 배치해서 서로의 데이터를 간..
-
정보의 자유로운 바다라는 인터넷이라도 정보 취득의 윤리는 필요하다Security 2013. 1. 29. 10:16
인터넷이 활성화되고 대중화되면서 인터넷을 통해서라면 어떤 정보든 자유롭게 접근하고 공유되어야 한다는 얘기가 인터넷 자유론자들 사이에서 많이 나오고 있다. 인터넷 안에서는 어떤 것이든 자유로워야 한다는 얘기다. 정보 역시 자유롭게 공유되어야 한다고 얘기한다. 이른바 인터넷 정보 공유의 자유라는 얘기다. 정보의 자유로운 공유. 좋은 이야기다. 공개될 수 있는, 공유할 수 있는 정보는 자유롭게 공유되고 접근이 가능해야 맞다. 특히 공공성을 띈 정보는 누구에게든 자유롭게 열람할 수 있는 것이 맞다고 본다. 국민의 세금을 갖고 운영되는 공공기관이나 정부가 만들어내는 정보에 한해서는 말이다. 물론 그 가운데는 열람할 수 없는 제한적인 정보도 존재할 것이며 국익과 국가의 안녕을 위해서 비밀을 유지하는 것이 옳다고 여..
-
인터넷 보안에 대한 영원한 숙제. ActiveX와 공인인증서를 대체할 수 있는 방법은 없는 것일까?Security 2013. 1. 14. 07:58
이미 대선은 끝났지만 대선 기간 중에 몇몇 대선후보가 내세웠던 IT 공약들 중에 ActiveX 줄이기와 공인인증제도 폐지가 있었다. 이 공약이 나오기까지에는 사용자들의 불편함이 그 배경으로 깔려있는데 간단히 정리하면 다음과 같다. 공인인증제도에서 사용하고 있는 공인인증서는 국제 표준처럼 사용하고 있는 SSL 방식이 아닌 국내에서만 사용할 수 있는 방식으로 인터넷 익스플로러나 파이어폭스, 크롬과 같은 웹브라우저에서 지정하고 있는 서버 인증서 저장 공간이 아닌 별도의 공인인증서 저장 공간을 사용하고 있으며 암호화 방식도 SSL에서 사용하고 있는 AES 방식이 아닌 국내 암호화 알고리즘(SEED, 혹은 ARIA 등)을 이용하는 등 오로지 국내에서만 사용할 수 있는 국내 표준방식이다. 그렇기 때문에 해외에서 만..
-
ActiveX와 공인인증서! 그 역사적(?)인 배경과 앞으로의 대응 방법은?Security 2012. 12. 24. 08:00
최근 대선주자들의 IT 정책들 중에서 이런저런 정책들이 많이 나오고 있는데 그 중에서 눈에 띄는 정책이 있어서 좀 얘기를 해볼까 한다. 대통령 후보에서 사퇴한 안철수 박사는 IT 정책 공약으로 ActiveX 폐기(?)와 공인인증서 제도 폐지를 꺼냈다. 그리고 문재인, 안철수 단일화 이후에 이 정책은 고스란히 문재인 민주당 후보의 IT 공약으로 넘어가게 된다. 즉, 문재인이 대통령에 당선되면 현재 개인인증방법으로 쓰이고 있는 공인인증서 제도와 그동안 이래저래 말이 많았던 ActiveX는 내년부터 5년 안에 사라지게 될 상황에 놓인 것이다. 박근혜 새누리당 대통령 후보가 당선이 되었으므로 아마도 공인인증서와 ActiveX는 계속 살아남지 않을까 생각이 된다. 하지만 지금과는 분명히 다를테니 그런 것을 생각하..
-
공인인증서와 ActiveX, 왜 지금까지 이렇게 이어져 왔을까?Security 2012. 12. 20. 07:34
최근 IT업계의 화두는 공인인증서, 그리고 ActiveX가 아닐까 싶다. 대선기간 중에 대선후보들이 공인인증서 폐지와 ActiveX 축소를 공약으로 내세웠던 것이 이 이슈를 수면위로 떠오르게 만들었지만 실제로는 그 전부터 공인인증서에 대한 사용자들의 불만, 그리고 ActiveX에 대한 불편함과 웹표준, 웹호환성에 대한 문제제기가 계속 있어온 것이 사실이다. 웹표준이 트랜드가 되고 모바일 환경이 점점 사용자들의 메인 환경이 되어가고 있는 요즘 어떻게 보면 시대에 뒤떨어진 구시대 산물처럼 보이는 공인인증서와 ActiveX가 왜 지금까지 지속되어 온 것일까? 간략하게 살펴볼까 한다. 인터넷 뱅킹이나 쇼핑몰 사이트를 돌아다니다보면 수많은 ActiveX 모듈을 설치하게 된다. 잘 살펴보면 대부분이 보안 관련 모듈..
-
개인정보는 활용의 대상이 아닌 보호를 받아야 할 대상이며 기업은 이에 대해서 책임있는 자세가 필요한데..Security 2012. 9. 3. 08:00
아래의 글은 전자신문의 블로고스피어에 기고한 글입니다. 기고 글은 [여기]에서 보실 수 있습니다. 아래의 글은 원본이며 기고 글은 편집된 글이라 차이가 있습니다. 최근 기업의 고객정보 유출사건들이 봇물터지듯 터지고 있는 상황이다. 과거 SK의 네이트도 고객정보가 유출당했고 옥션도 그랬고 최근에는 KT 역시 고객정보가 유출당하는 사태가 벌어졌다. 고객정보는 개인정보다. 최근 개인정보보호법이 시행되고 사람들의 인식 속에서 개인정보에 대한 심각성이 높아지고 있는 상황에서 기업들은 개인정보를 보호하고 다루는 부분에 있어서 많이 부족하지 않는가 하는 생각을 해본다. 왜 이런 개인정보 유출 사건이 계속 일어나는 것일까? 앞서 얘기했듯 기업의 개인정보를 다루는 기술이나 그 정보를 취급하는데 있어서 접근성에 대한 시각..
-
KT의 고객정보 유출 사태를 보면서.. 과연 보안의 어떤 부분에 헛점이 생겼던 것일까?Security 2012. 7. 30. 15:00
이번에 KT의 개인정보 유출 사건으로 인해 아주 떠들썩하다. 개인정보 유출의 내용 자체도 문제지만 KT의 대응방식도 문제가 되고 있다. 말장난같은 문구로 인해서 더욱 황당하다는 얘기다. 최근 4~5년간 유출된 개인정보로만 따진다면 대한민국 국민의 80% 이상의 개인정보가 유출되어 돌아다니고 있지 않을까 하는 생각이 든다. 누구 얘기로 이제 대한민국 국민의 주민등록번호는 공공재냐라는 말이 나와도 할 말이 없을 정도니 말이다. 이번에 KT에서 유출된 850여만건의 개인정보 유출은 5개월동안 조금씩 이뤄졌다고 한다. 마치 협력업체에서 가입자 정보를 조회하는 것처럼 내용을 가져갔다는 얘기다. KT측의 변명은 대량의 트래픽이 일어난 것이 아닌 소량의 트래픽의 이동으로 인한 상황이었기 때문에 감지가 어려웠다고 하는..
-
대한민국의 인터넷 서비스의 질을 퇴보시키는 구시대 악습의 카르텔. 깨기 위해서는 큰 틀에서의 투자가 필요한데...Security 2012. 6. 29. 12:00
이 글은 전에 소개했던 남성잡지인 '에스콰이어' 6월호에 실린 글입니다. 원본을 공개합니다. 잡지에 실린 내용은 약간의 편집이 들어가있으니 참고 바랍니다. 인터넷을 통해서 뭔가 물건을 사기 위해 컴퓨터를 켜고 인터넷 쇼핑몰에 들어가면 가장 먼저 뜨는 것이 뭔가를 설치하라는 다이얼로그 박스일 것이다. 쇼핑몰에서 뭔가를 사기 위해서는 어쩔 수 없이 설치해야 하며 그렇지 않으면 원하는 물건을 살 수 없기 때문이다. 인터넷 쇼핑몰에 들어와서 원하는 물건을 선택했고 그것을 사기 위해 결재를 시도하면 또 보안 플러그인을 설치하라고 다이얼로그 박스가 뜬다. 결재까지 끝난 다음에 웹 브라우저의 플러그인 검색을 살펴보면 하나의 사이트를 이용하기 위해 꽤 많은 보안 플러그인, 화면 지원 플러그인이 설치되어 있는 것을 볼 ..
-
왜 한국의 인터넷 뱅킹은 윈도 기반의 인터넷 익스플로러에서만 동작할 수 밖에 없었을까?Security 2012. 4. 18. 08:59
며칠 전에 지인과 메신져로 얘기한 내용들 중에서 왜 한국의 인터넷 뱅킹은 윈도 기반에 인터넷 익스플로러(IE)에서만 사용할 수 밖에 없게 되었을까라는 부분이 있었다. 요즘은 다양한 웹브라우저에 윈도 뿐만이 아니라 리눅스나 맥과 같은 타 OS도 많이 사용되고 있는 환경인데 인터넷 뱅킹이나 관공서, 쇼핑몰 사이트는 윈도 기반에 IE에서만 동작하는 경우가 많아서 왜 그렇게 될 수 밖에 없었나에 대한 얘기를 좀 나눴다. 개인적으로는 보안업계에서 7~8년정도 있었기 때문에 지금의 이런 현상이 나올 수 밖에 없는 배경에 대해서 어느정도는 알고 있다. 그리고 그 배경을 설명해줬는데 지인은 꽤 많은 도움이 되었다고 해서 고마워하더라(나중에 저녁이나 얻어먹어야겠다 -.-). 그래서 오늘은 그때 지인과 한 이야기를 정리해..